Cómo ver, crear y eliminar directivas de seguridad en la CLI

Resumen

En este artículo se describe cómo ver, crear y eliminar directivas de seguridad dentro de CLI (interfaz de línea de comandos).

Detalles

Para crear una nueva Directiva de seguridad desde la CLI:

> Configure (presione Intro)

# establezca las reglas de seguridad de reglas en la <name> <source zone="">acción de servicio de aplicación de <destination zone="">destino <ip> <application> <allow eny="">(presione Intro)</allow> </application> </ip> </destination> </source> </name>

# Exit

Ejemplo:

# Set reglas reglas de seguridad genéricas-seguridad desde fuera-L3 a interior-L3 destino 63.63.63.63 aplicación web-servicio de navegación-acción predeterminada permitir (presionar Intro)

Nota: para obtener ayuda con la entrada de todos los comandos CLI, utilice "?" o [TAB] para conseguir una lista de los comandos disponibles.

Para ver las directivas de seguridad de Palo Alto Networks desde la CLI:

> Mostrar ejecución de la Directiva de seguridad

Regla de origen a dest.           Usuario proto puerto gama acción de aplicación
------------------------------------------------------------------------------------------------------------------
Doms DLP Untrust-vwir 10.16.0.92 Intrust-vwir cualquier cualquier NY cualquier cualquier permitir
confianza-vwire Trust-vwire

rule4 Untrust-vwir cualquier vwir de confianza-10.16.0.92 cualquier cualquier cualquier cualquier permitir
confianza-vwire Trust-vwire

rule3 Trust-vwire cualquier Intrust-vwir cualquier cualquier cualquier cualquier permitir

El siguiente comando dará salida a toda la configuración:

&gt; show config ejecutando

Para la salida del formato del sistema:

&gt; conjunto de formato de salida de configuración cli

> configurar
entrar en modo de configuración
[editar]

# Edit reglas Security
[editar reglas seguridad]

# Mostrar
conjunto reglas reglas de seguridad erupción de confianza-vwire
establecer reglas reglas de seguridad erupción de Untrust-vwire
conjunto reglas reglas de seguridad precipitación a la confianza-vwire
set reglas reglas de seguridad precipitación a la desconfianza-vwire
set reglas reglas de seguridad erupción de origen 10.16.0.21
establecer reglas reglas de seguridad erupción destino cualquier
conjunto reglas reglas de seguridad erupción servicio cualquier
conjunto reglas reglas de seguridad erupción aplicación Adobe-Meeting-control remoto
conjunto reglas reglas de seguridad erupción aplicación Adobe-Meeting
set reglas reglas de seguridad erupción aplicación Adobe-en línea-oficina
conjunto reglas reglas de seguridad erupción acción denegar
establecer reglas reglas de seguridad erupción de origen-usuario cualquier
conjunto reglas reglas de seguridad erupción opción deshabilitar-servidor-respuesta-inspección no
establecer reglas reglas de seguridad erupción negativa-fuente no
set reglas reglas de seguridad erupción negativa-destino no
conjunto reglas reglas de seguridad erupción desactivada sí
establecer reglas reglas de seguridad erupción log-Inicio no
set reglas reglas de seguridad erupción log-end sí

Para cambiar a la salida predeterminada:

        Desde el modo configurar:

# ejecutar establecer CLI config-salida-formato predeterminado

[editar reglas seguridad]
# Mostrar
seguridad {
reglas {
erupción {
from [Trust-vwire Untrust-vwire];
      a [Trust-vwire Intrust-vwire];
fuente 10.16.0.21;
destino cualquiera;
servicio cualquiera;
aplicación [Adobe-Meeting-control remoto Adobe-reunión Adobe-online-Office];
acción deny;
fuente-usuario any;
opción {
deshabilitar-servidor-respuesta-inspección no;
      }
negación-fuente no;
negar-destino no;
discapacitados sí;
log-Start no;
log-end sí;
configuración de perfil {
perfiles {
rashi_file_alert de bloqueo de archivos;
          rashi_dlp de filtrado de datos;
        }

Para ver la configuración en formato XML:

Desde el modo configurar:

# ejecutar establecer CLI config-salida-formato XML

[editar reglas seguridad]
# Mostrar
<response status="success" code="19">
<result total-count="1" count="1">
<security>
<rules>
<entry name="rashi">
<from>
<member>confianza-vwire</member>
<member>Untrust</member>-vwire
                                  </from>
<to>
<member>confianza-vwire</member>
<member>Untrust-</member> vwire
                                  </to>
<source>
<member></member> 10.16.0.21
                      </source>
cualquier Adobe-Meeting <destination>
<member></member>-control remoto Adobe-reunión Adobe-online-Office
                      </destination>
<service>
<member></member>
                      </service>
<application>
<member></member>
<member></member>
<member></member>
                                              </application>
<action>negar</action>
<source-user>
<member></member> cualquier
                      </source-user>         
          <option>
            <disable-server-response-inspection>no hay</disable-server-response-inspection> no

<negate-source></negate-source>
<negate-destination>no</negate-destination>
<disabled>sí</disabled>
<log-start>no</log-start>
<log-end>sí</log-end>
<profile-setting>
<profiles>
<file-blocking>
<member></member> rashi_file_alert

<data-filtering> </data-filtering>                                            </file-blocking>               </profiles>            </profile-setting>                                                                                                                                            </entry>        </rules>      </security>    </result>  </response>

Además, si desea una forma más corta de ver y eliminar reglas de seguridad dentro del modo configurar, puede utilizar estos 2 comandos:

Para encontrar una regla:

• Mostrar reglas de seguridad de reglas<rulename></rulename>

Para eliminar o eliminar una regla:

• Eliminar reglas de seguridad de reglas<rulename></rulename>

Ver también

Command Line Interface referencia guía versión 6.1

Command Line Interface referencia guía versión 6.0

Command Line Interface referencia guía versión 5.0

Propietario: panagent